Aller au contenu principal
Maintenance

Routine de maintenance hebdomadaire WordPress

La checklist complète et détaillée pour maintenir votre WordPress en parfait état, semaine après semaine.

Marie Lefebvre
Consultante WordPress
30 août 2025 8 min de lecture
Routine de maintenance hebdomadaire WordPress
Sommaire de l'article

Un site WordPress laissé sans maintenance est un site qui se dégrade. Lenteur, failles de sécurité, erreurs 500, formulaires qui ne fonctionnent plus, images qui disparaissent : les problèmes s'accumulent jusqu'à l'incident critique. Et cet incident arrive toujours au pire moment — un vendredi soir, pendant une campagne publicitaire, ou quand votre client le plus important visite votre site.

La solution ? Une routine de maintenance hebdomadaire structurée et méthodique qui ne prend que 30 à 45 minutes. C'est un investissement dérisoire comparé au coût d'un site hors service ou d'une perte de données.

Pourquoi une maintenance hebdomadaire est indispensable

WordPress, ses plugins et ses thèmes reçoivent constamment des mises à jour. Chaque semaine, de nouvelles vulnérabilités sont découvertes et corrigées. Le rapport annuel de Patchstack révèle que plus de 5 000 vulnérabilités WordPress sont publiées chaque année, dont la majorité concerne les plugins. Un retard de mise à jour de quelques semaines suffit pour qu'un attaquant exploite une faille connue.

Au-delà de la sécurité, les performances se dégradent avec l'accumulation de données temporaires, de transients expirés et de logs volumineux. Enfin, la maintenance régulière permet de détecter des anomalies avant qu'elles ne deviennent des problèmes critiques.

La checklist hebdomadaire en 8 points

1. Vérifier les sauvegardes

Avant toute opération, confirmez que vos sauvegardes automatiques fonctionnent. Une sauvegarde défaillante découverte au moment où vous en avez besoin, c'est le pire scénario. Vérifiez systématiquement :

  • La date de la dernière sauvegarde : elle doit être récente (moins de 24h pour un site actif).
  • La taille du fichier : une sauvegarde anormalement petite indique une sauvegarde incomplète.
  • La destination de stockage : confirmez que les sauvegardes sont envoyées sur un stockage externe (S3, Google Drive, Dropbox). Une sauvegarde sur le même serveur ne sert à rien si le serveur tombe.
  • La restauration : testez une restauration complète sur un environnement de staging au moins une fois par mois.

Astuce : configurez des alertes email pour être notifié en cas d'échec de sauvegarde. UpdraftPlus et BlogVault proposent cette fonctionnalité nativement.

2. Mettre à jour WordPress, les thèmes et les plugins

C'est l'étape la plus importante. Procédez dans cet ordre :

  1. Lisez les changelogs et identifiez les correctifs de sécurité (prioritaires) et les nouvelles fonctionnalités (risque d'incompatibilité).
  2. Créez un point de restauration avant de commencer.
  3. Mettez à jour les plugins un par un, en testant après chaque mise à jour.
  4. Mettez à jour le thème actif, puis WordPress si une nouvelle version est disponible. Les mises à jour majeures méritent d'être testées en staging d'abord.
  5. Testez votre site : page d'accueil, page interne, formulaire de contact, processus d'achat si applicable.

Pièges courants : méfiez-vous des plugins premium dont la licence a expiré — ils ne recevront plus de mises à jour mais resteront installés avec leurs failles. Un plugin non mis à jour depuis plus d'un an est un risque.

3. Scanner le site pour les malwares

Lancez un scan de sécurité complet chaque semaine avec Wordfence ou Sucuri Security. Ne vous contentez pas des scans externes qui n'analysent que le front-end. Surveillez particulièrement :

  • Fichiers modifiés dans le cœur de WordPress : tout fichier core modifié est suspect.
  • Fichiers PHP dans le répertoire uploads : il ne devrait jamais y en avoir dans wp-content/uploads/.
  • Comptes utilisateurs inconnus : vérifiez qu'aucun compte administrateur n'a été créé à votre insu.
  • Redirections suspectes : testez depuis un navigateur en navigation privée et depuis un mobile.

Avec WP-CLI, vérifiez l'intégrité du cœur en une commande :

wp core verify-checksums

4. Vérifier les performances

Testez la vitesse de chargement de votre page d'accueil et de 2-3 pages clés avec GTmetrix, PageSpeed Insights ou Pingdom. Comparez avec la semaine précédente. Les métriques prioritaires :

  • TTFB : au-delà de 600 ms, problème côté serveur (requêtes SQL lentes, plugins gourmands, hébergement sous-dimensionné).
  • LCP : Google recommande moins de 2,5 secondes.
  • Poids total de la page : au-delà de 3 Mo, optimisez images et scripts.

Un temps de chargement qui augmente de plus de 20 % d'une semaine à l'autre mérite une investigation immédiate.

5. Modérer les commentaires

Traitez chaque semaine les commentaires en attente. Les commentaires spam qui s'accumulent gonflent la table wp_comments, nuisent au SEO (liens vers des sites malveillants) et donnent une image de négligence.

Configurez Akismet pour filtrer les spams, puis videz régulièrement le dossier spam :

wp comment delete $(wp comment list --status=spam --format=ids) --force

Si vous n'utilisez pas les commentaires, désactivez-les dans Réglages > Discussion.

6. Vérifier les liens cassés

Les liens cassés nuisent à l'expérience utilisateur et au SEO. Utilisez un service externe comme Ahrefs, Screaming Frog ou Google Search Console plutôt qu'un plugin qui consomme des ressources serveur. Corrigez les liens cassés en les mettant à jour ou en créant des redirections 301.

Bonne pratique : quand vous supprimez un article ou changez son URL, créez toujours une redirection 301. Le plugin Redirection fait parfaitement le travail.

7. Optimiser la base de données

La base MySQL accumule des données inutiles : révisions d'articles, transients expirés, commentaires spam, méta orphelines, tables laissées par d'anciens plugins. Nettoyez chaque semaine :

  • Révisions excessives : gardez-en 5 maximum par article.
  • Transients expirés et corbeille : purgez régulièrement.
  • Tables fragmentées : optimisez pour récupérer l'espace perdu.

Avec WP-CLI :

wp transient delete --expired
wp db optimize
wp post delete $(wp post list --post_status=trash --format=ids) --force

Pour limiter les révisions à la source, configurez WP_POST_REVISIONS dans votre fichier wp-config.php :

define('WP_POST_REVISIONS', 5);

8. Consulter les logs d'erreur

Les logs sont la boîte noire de votre site. Vérifiez chaque semaine le fichier wp-content/debug.log, les logs du serveur web (error.log) et les logs PHP. Les erreurs à ne pas ignorer :

  • Allowed memory size exhausted : augmentez la limite mémoire PHP ou optimisez les plugins gourmands.
  • Cannot modify header information : espace ou caractère BOM avant le tag PHP.
  • MySQL server has gone away : requêtes trop longues ou serveur surchargé.
  • Deprecated : un plugin utilise des fonctions obsolètes — à surveiller pour les futures mises à jour PHP.

Conseil d'expert : créez un fichier de notes où vous consignez les erreurs récurrentes et leur résolution. Vous constituerez une base de connaissances qui vous fera gagner un temps considérable.

Tâches de maintenance mensuelle

En complément de la routine hebdomadaire :

  • Audit des utilisateurs : supprimez les comptes inactifs, vérifiez les rôles, activez la 2FA pour les comptes privilégiés.
  • Test de restauration : restaurez une sauvegarde complète sur un environnement de staging.
  • Revue des plugins : désactivez et supprimez ceux que vous n'utilisez plus. Un plugin désactivé reste un risque si ses fichiers sont sur le serveur.
  • Certificat SSL : vérifiez qu'il est valide et ne va pas expirer prochainement.
  • Version PHP : assurez-vous d'utiliser une version supportée (PHP 8.2 ou 8.3 recommandé). Une version obsolète expose votre site à des vulnérabilités non corrigées.
  • Nettoyage du répertoire uploads : identifiez et supprimez les médias non utilisés avec un plugin comme Media Cleaner.

Revue trimestrielle approfondie

Tous les trois mois, prenez du recul :

  • Audit de performance complet : analysez les Core Web Vitals sur 3 mois dans Google Search Console. Comparez vos performances avec celles de vos concurrents.
  • Audit SEO technique : sitemap XML, robots.txt, balises canoniques, schema markup. Identifiez les erreurs de crawl.
  • Stratégie de sauvegarde : appliquez la règle 3-2-1 (3 copies, 2 supports différents, 1 hors site).
  • Compatibilité navigateurs : testez sur les navigateurs et appareils les plus utilisés par vos visiteurs.
  • Évaluation de l'hébergement : analysez l'uptime, le temps de réponse et l'utilisation des ressources. Migrez si nécessaire.

Automatiser ce qui peut l'être

Automatisez les tâches répétitives : sauvegardes quotidiennes vers le cloud, optimisation hebdomadaire de la base de données, scans de sécurité quotidiens, monitoring de disponibilité (UptimeRobot). Les mises à jour mineures de WordPress sont contrôlables via les constantes dans wp-config.php.

En revanche, les mises à jour majeures de plugins et de WordPress doivent rester manuelles avec tests. Une incompatibilité non détectée peut casser votre site sans que vous le sachiez — imaginez un plugin e-commerce mis à jour automatiquement un samedi soir, bloquant les paiements tout le week-end.

Les erreurs de maintenance les plus courantes

  • Ne pas tester les sauvegardes : des sauvegardes automatiques sans test de restauration donnent un faux sentiment de sécurité.
  • Tout mettre à jour en un clic : si quelque chose casse, impossible d'identifier le coupable. Mettez à jour un par un.
  • Ignorer les plugins inactifs : un plugin désactivé garde ses fichiers PHP vulnérables sur le serveur. Si vous ne l'utilisez pas, désinstallez-le.
  • Ne pas documenter : sans trace des actions effectuées, le diagnostic est impossible trois semaines plus tard.
  • Repousser les correctifs de sécurité : les vulnérabilités critiques sont exploitées dans les heures suivant leur publication. Appliquez-les sous 24 heures.
  • Pas de staging : tester les mises à jour majeures en production, c'est jouer à la roulette russe.
  • Négliger la version PHP : PHP 8.x est jusqu'à 3 fois plus rapide que PHP 7.0 et corrige des vulnérabilités critiques.
  • Ne pas surveiller l'espace disque : logs et sauvegardes locales s'accumulent. Un disque plein provoque des erreurs 500 et peut corrompre la base de données.

Documenter et suivre dans la durée

Tenez un journal de maintenance structuré (date, actions, problèmes détectés, mesures prises). Ce journal permet d'identifier des tendances, de justifier votre travail auprès de vos clients, et de faciliter le diagnostic quand un problème survient. Un simple tableur avec les colonnes Date, Action, Résultat, Problème détecté et Temps passé fait parfaitement l'affaire.

Conclusion

Une maintenance WordPress régulière n'est pas glamour, mais c'est la différence entre un site qui fonctionne sans accroc pendant des années et un site qui tombe en panne au pire moment. La routine hebdomadaire prend 30 à 45 minutes, les tâches mensuelles ajoutent une heure par mois, et la revue trimestrielle nécessite 2 à 3 heures.

Rapporté au coût d'un site hors service (perte de chiffre d'affaires, restauration d'urgence, impact SEO, perte de confiance), c'est un investissement minimal pour une tranquillité d'esprit maximale. Commencez dès cette semaine : bloquez 45 minutes dans votre agenda chaque lundi matin, suivez la checklist point par point, et faites-en une habitude incontournable.

Partager cet article
Retour au blog

Envie d'aller plus loin ?

Consultez notre guide complet pour une approche exhaustive de la sécurité et de la maintenance WordPress.

Lire le guide complet